L2TP პროტოკოლი უპირატესობას ანიჭებს PPTP-ს VPN ქსელების შესაქმნელად, ძირითადად უსაფრთხოებისა და უფრო მაღალი ხელმისაწვდომობისთვის, იმის გამო, რომ ერთი UDP სესია გამოიყენება მონაცემთა და საკონტროლო არხებისთვის. დღეს ჩვენ განვიხილავთ L2TP VPN სერვერის დაყენებას Windows server 2008 r2 პლატფორმაზე.
PPTP
Point-to-Point Tunneling Protocol არის პროტოკოლი, რომელიც გამოიგონა Microsoft-მა VPN-ების დასაყენებლად dial-up ქსელებში. PPTP მრავალი წლის განმავლობაში არის სტანდარტული პროტოკოლი VPN-ების შესაქმნელად. ეს არის მხოლოდ VPN პროტოკოლი და ეყრდნობა ავთენტიფიკაციის სხვადასხვა მეთოდს უსაფრთხოებისთვის (ყველაზე ხშირად გამოყენებული არის MS-CHAP v.2). ხელმისაწვდომია როგორც სტანდარტული პროტოკოლი თითქმის ყველა VPN ჩართული ოპერაციულ სისტემასა და მოწყობილობაზე, რაც საშუალებას გაძლევთ გამოიყენოთ იგი დამატებითი პროგრამული უზრუნველყოფის დაყენების გარეშე.
Დადებითი:
- PPTP კლიენტი ჩაშენებულია თითქმის ყველა ოპერაციულ სისტემაში
- ძალიან ადვილია დაყენება
- მუშაობს სწრაფად
მინუსები:
- დაუცველი (დაუცველი ავთენტიფიკაციის პროტოკოლი MS-CHAP v.2 ჯერ კიდევ ფართოდ გამოიყენება)
L2TP და L2TP/IPsec
Layer 2 Tunnel Protocol არის VPN პროტოკოლი, რომელიც თავისთავად არ უზრუნველყოფს დაშიფვრას ან კონფიდენციალურობას მასში გამავალი ტრაფიკისთვის. ამ მიზეზით, IPsec დაშიფვრის პროტოკოლი ჩვეულებრივ გამოიყენება უსაფრთხოებისა და კონფიდენციალურობისთვის.
Დადებითი:
- ძალიან უსაფრთხო
- ადვილი დასაყენებელი
- ხელმისაწვდომია თანამედროვე ოპერაციულ სისტემებზე
მინუსები:
- უფრო ნელი ვიდრე OpenVPN
- შეიძლება საჭირო გახდეს როუტერის დამატებითი კონფიგურაცია
ასე რომ, დაუბრუნდით განლაგების პარამეტრებს VPN L2TP სერვერებიჩვენ გამოვიყენებთ Windows Server 2008 R2-ს, თუმცა, მცირე ცვლილებებით, ყველაფერი, რაც ითქვა, მართალი იქნება Windows Server-ის სხვა ვერსიებისთვისაც.
ჩვენ გვჭირდება დაინსტალირებული როლი, რომელიც უნდა შეიცავდეს როგორ გავაკეთოთ ეს, ჩვენ დეტალურად აღვწერეთ წინა სტატიაში, სადაც ავღნიშნეთ PPTP VPN,შესაბამისად, ამ პროცესის კიდევ ერთხელ აღწერის აზრს ვერ ვხედავ, შემდგომში ვივარაუდებთ, რომ როლი ქსელის პოლიტიკა და წვდომის სერვისებითქვენ უკვე დააინსტალირეთ და შეიცავს მარშრუტიზაციისა და დისტანციური წვდომის სერვისები. ზოგადი განლაგება VPN L2TP სერვერებიძალიან ჰგავს განლაგებას PPTP VPN, გარდა რამდენიმე პარამეტრისა, რომელსაც დეტალურად განვიხილავთ.
გადადით სერვერის მენეჯერზე: როლები -მარშრუტიზაცია და დისტანციური წვდომა, დააწკაპუნეთ ამ როლზე მარჯვენა ღილაკით და აირჩიეთ Თვისებები, ჩანართზე გენერალიმონიშნეთ ყუთები IPv4 როუტერი, აირჩიე LAN და დარეკეთ მოთხოვნით, და დისტანციური წვდომის IPv4 სერვერი:
ახლა ჩვენ უნდა შევიტანოთ წინასწარ გაზიარებული გასაღები. გადადით ჩანართზე უსაფრთხოებადა მინდორში დაუშვით კონკრეტული IPSec პოლიტიკა L2TP კავშირისთვისშეამოწმეთ ყუთი და შეიყვანეთ თქვენი გასაღები. ( გასაღების შესახებ. იქ შეგიძლიათ შეიყვანოთ ასოების და რიცხვების თვითნებური კომბინაცია.მთავარი პრინციპია რაც უფრო რთული კომბინაცია, მით უფრო უსაფრთხო და დამახსოვრება ან ჩაწერა ეს კომბინაცია ჩვენ მაინც დაგვჭირდება.) ჩანართში ავთენტიფიკაციის სერვისის პროვაიდერიაირჩიეთ Windows - ავთენტიფიკაცია.
ახლა ჩვენ უნდა დავაყენოთ კავშირის უსაფრთხოება. ამისათვის გადადით ჩანართზე უსაფრთხოებადა აირჩიე ავთენტიფიკაციის მეთოდები, მონიშნეთ EAP პროტოკოლიდა დაშიფრული ვერიფიკაცია (Microsoft v2, MS-CHAP v2):
შემდეგი, გადადით ჩანართზე IPv4, სადაც ვაზუსტებთ, რომელი ინტერფეისი მიიღებს კავშირებს VPNასევე კლიენტებისთვის გაცემული მისამართების ფონდის შექმნა L2TP VPNჩანართი IPv4 (ინტერფეისი დაყენებულია RAS-ის ადაპტერის არჩევის უფლებაზე):
ახლა მოდით გადავიდეთ ჩანართზე, რომელიც გამოჩნდება პორტები, დააწკაპუნეთ მარჯვენა ღილაკით და Თვისებები, აირჩიეთ კავშირი L2TPდა დააჭირეთ Მელოდია, ახალ ფანჯარაში ჩადეთ Dial-up კავშირი (მხოლოდ შემომავალი)და კავშირი მოთხოვნით (შემავალი და გამავალი)და დააყენეთ პორტების მაქსიმალური რაოდენობა, პორტების რაოდენობა უნდა ემთხვეოდეს ან აღემატებოდეს კლიენტების მოსალოდნელ რაოდენობას. უკეთესია გამოუყენებელი პროტოკოლების გამორთვა მათ თვისებებში ორივე ველის მოხსნით.
შედეგად, პორტების სიაში უნდა დარჩეს მხოლოდ ის პორტები, რომლებიც გჭირდებათ მითითებულ ნომერში.
ეს ასრულებს სერვერის დაყენებას. რჩება მხოლოდ მომხმარებლებს სერვერთან დაკავშირების უფლება. გადადით სერვერის მენეჯერზე: კონფიგურაცია - ადგილობრივი მომხმარებლები და ჯგუფები - მომხმარებლები -აირჩიეთ მომხმარებელიდა დააწკაპუნეთ მარჯვენა ღილაკით - Თვისებები. ჩანართზე Შემომავალი ზარები - ქსელში წვდომის უფლებებიგამოამჟღავნონ Დაუშვას. (თუ თქვენს სერვერზე მუშაობს Active Directory, მაშინ პარამეტრები უნდა შეიყვანოთ შესაბამის სნეპ-ინში)
და არ დაგავიწყდეთ გადართოთ პორტები თქვენს როუტერზე, ასევე გახსნათ ისინი თქვენს Firewall-ში:
- IKE - UDP პორტი 500 (მიღება/გაგზავნა)
- L2TP - UDP პორტი 1701 (მიღება/გაგზავნა)
- IPSec ESP - UDP პორტი 50 (მიღება/გაგზავნა)
- IPSec NAT-T - UDP პორტი 4500 (მიღება\გაგზავნა)
